Directive NIS Union européenne
Contents
- 1 Directive Network and Information Security (NIS) de l'Union européenne
- 1.1 Une stratégie nationale
- 1.2 Une co-opération entre les États
- 1.3 Les exigences de sécurité
- 1.4 Le pouvoir des autorités compétentes
- 1.5 Désaccords sur la portée de la directive : quelles entreprises sont couvertes par les exigences de la directive ?
- 1.6 Les critiques de la directive NIS
- 1.7 Propositions
Directive Network and Information Security (NIS) de l'Union européenne[edit]
La directive NIS s'inscrit dans la lignée de la "stratégie sur la cybersécurité", dans l'Union européenne, publiée en 2013 par la Commission. Cette stratégie a pour but de promouvoir un cyberespace "libre et sécurisé" dans l'Union européenne afin de prévenir et de réagir aux cyberattaques etc., et d'assurer ainsi la croissance de l'économie numérique. La directive a été adoptée en première lecture par le Parlement en mars 2014 et est actuellement en fin de négociations entre le Parlement et le Conseil (trilogue). Le but de cette directive est d'assurer un niveau commun élevé de cybersécurité dans l'Union, en :
- améliorant les capacités de cybersécurité des États Membres
- améliorant la coopération entre les États et entre les secteurs publics et privés
- exigeant que les entreprises de secteurs critiques - par exemple l'énergie, le transport, finances et la santé- ainsi que des services internet clés adoptent des pratiques de gestion des risques et communiquent les accidents majeurs aux autorités nationales.
Une stratégie nationale[edit]
La proposition de directive exige une harmonisation des mesures de cybersécurité entre les Etats (article 2). Les Etats doivent établir une stratégie de haute-sécurité et définir leurs objectifs sur certains problèmes spécifiques, notamment la définition des rôles et des responsabilités des corps gouvernementaux, les mesures de préparation et de riposte aux attaques informatiques, notamment entre les secteurs publics et privés.
Cette stratégie inclut que les Etats membres doivent désigner une autorité compétente (article 6) et des CERT (Computer Emergency Response Team), c'est-à-dire des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous (article 7). Les CERT (annex I) a pour mission de surveiller, analyser et avertir des risques, ainsi qu'à intervenir sur les attaques a posteriori.
Une co-opération entre les États[edit]
La directive appuie sur la nécessité pour les autorités et la Commission de former un réseau de coopération (article 8). L'AESRI (Agence européenne chargée de la sécurité des réseaux et de l'information) doit aider ce réseau de coopération. Il s'agit, dans le cadre de cette coopération de faire circuler les avertissements sur les risques (s'il est important ou évolue rapidement [article 10]), d'y répondre de manière adaptée [article 11], de discuter des stratégies nationales, de l'efficacité des CERT, d'échanger des informations avec le centre européen du cybercrime. L'échange d'informations sensibles doit avoir lieu dans le cadre d'une infrastructure sécurisée (article 9) mais les paramètres de sécurité ne sont en revanche pas déterminés par la directive. Les éléments minimum nécessaires à ce plan de coopération sont un plan d'évaluation des risques, la définition des rôles et des responsabilités des acteurs, la définition des procédés de communication et d'évaluation (article 5).
Le Parlement et le Conseil sont d'accord sur une coopération sur la base du volontariat, et le partage de l'information. Il y aurait des exigences limitées pour partager les informations sur les incidents qui auraient un impact sur la continuité du service dans un autre Etat membre. Les CERT vont travailler ensemble pour dessiner des lignes directrices pour souligner comment plus de coopération pourrait fonctionner dans le futur.
Ce réseau centralisé des créateurs de règles de cybersécurité opère cependant hors de la vue des citoyens, plus encore s'il s'agit d'"informations confidentielles". Le risque étant que ces autorités publiques soient sous l'influence d'acteurs privés de la sécurité.
Les exigences de sécurité[edit]
Un élément important de la directive est que les Etats membres doivent s'assurer que les administrations publiques et les opérateurs de marché prennent des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et aux systèmes d'informations. La directive impose aussi une obligation de déclaration aux autorités compétentes, des attaques informatiques par les administrations publiques et les opérateurs de marché qui en sont victimes (article 14). Cette obligation s'applique aux attaques ayant un impact significatif sur la continuité des services. Les autorités peuvent décider par la suite d'informer ou non les utilisateurs de l'attaque. Le problème est que la possibilité d'informer les citoyens de cette attaque est à la discrétion des autorités. Il s'agit d'un principe de transparence qui permet de prévenir non seulement les consommateurs d'une éventuelle fuite de données les concernant, mais aussi d'informer les autres entreprises afin qu'elles prennent des mesures préventives.
Le texte devait initialement inclure dans la notion d'"opérateurs de marché", les fournisseurs de service d'informations que sont par exemple les interfaces de paiement en ligne, les moteurs de recherche, les fournisseurs d'informatique en nuage etc. Le Parlement a finalement décidé qu'inclure ces services dans le champ d'application de la directive était disproportionné et que l'obligation de déclaration ne devait s'appliquer qu'aux fournisseurs de services Internet critiques. Les opérateurs de marché exclus du champ d'application de la directive peuvent toujours, de manière volontaire, notifier les attaques informatiques.
Lorsqu'une attaque concerne des données personnelles, l'obligation de notification a lieu selon les lois existantes sur les protection des données personnelles ou selon la proposition de règlement sur les données personnelles.
Le pouvoir des autorités compétentes[edit]
Les autorités compétentes ont le pouvoir d'enquêter sur les administrations publiques et les opérateurs de marché ne respectant pas la directive, notamment par des audits de sécurité. Les Etats membres déterminent eux-mêmes les sanctions applicables concernant les violations des dispositions nationales prises en appui de la directive. Ces sanctions doivent être efficaces, proportionnées et dissuasives. S'il s'agit d'un incident lié à la sécurité, concernant des données personnelles, les sanctions doivent suivre celles établies par la proposition de Règlement (article 17).
Désaccords sur la portée de la directive : quelles entreprises sont couvertes par les exigences de la directive ?[edit]
Pour le Conseil : les États membres doivent choisir eux-mêmes quelles entreprises sont soumises à la directive, services critiques, secteurs identifiés dans la directive. Pour le Parlement : approche maximaliste où toutes les entreprises seraient soumises à la directive dans les secteurs identifiés, qui représenteraient une charge de régulation injustifiable (unjustifiable regulatory burden).
Aucun accord entre le Conseil et le Parlement sur les services ("plateformes service digital") type moteurs de recherches, réseaux sociaux etc.. à savoir s'ils sont soumis à la directive ou non. Le Conseil est divisé sur la question tandis que le Parlement aimerait les exclure de la directive.
Les critiques de la directive NIS[edit]
(Source : [1])
En France, à ce jour, la compétence de contrôle est dévolue à l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, mais seulement à l'égard des OIV (opérateurs d’importance vitale). Depuis la loi de programmation militaire de 2013, centrales nucléaires, hôpitaux, sociétés de transports, etc. ont donc l'obligation de fournir « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ».
L’Afdel considère qu'une obligation indifférenciée de reporting d’incidents « pourrait porter atteinte à la compétitivité des entreprises du numérique, en particulier des entreprises françaises et européennes du numérique – dont de nombreuses PME, qui n’ont pas toute la capacité d’adaptation des grands groupes internationaux –, sans atteindre les objectifs poursuivis en termes de sécurité ». Système disproportionné, redondant d'imposer ces obligations. ASIC : craint de voir chaque État membre devenir « le Directeur des services informatiques de l’ensemble des acteurs du numérique ». Equilibre soit remis en cause par plusieurs États membres, dont la France. ANSSI – compétence pour expertiser et ainsi s’introduire dans tous les systèmes informatiques de ces acteurs du numérique. Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ? »
(Source : [2])
Des inquiétudes existent concernant l'obligation de notifier les incidents, attaques informatiques etc. pour les secteurs spécifiques, tels que la finance. Ces secteurs spécifiques répondent déjà à une autorité de régulation spécifiques, même pour les cyberattaques. Devront-ils être soumis à la directive NIS ou aux textes existants sur les secteurs spécifiques ?
Propositions[edit]
(Source : [3])
- un mode de gouvernance décentralisé de la cybersécurité avec plus de gardes-fou sur la manière dont les politiques de cybersécurité sont menées. Une politique ouverte à la participation citoyenne ?
- une meilleure protection des utilisateurs, la référence à la EU privacy legislation n'étant pas suffisante.